Active Directory в Windows Server 2012
Служба каталогов Active Directory, представляет собой базу данных, которая содержит все объекты домена (пользователи, группы, оргтехника, общие ресурсы и т.д.), обеспечивает эффективное функционирование корпоративных сетей, прозрачность управления системными политиками и взаимодействие работающих в домене приложений.
За счет внедрения службы каталогов Active Directory, позволяет централизованно управлять инфраструктурой предприятия (в том числе территориально распределенной), стандартизировать ресурсы, обеспечить единую точку аутентификации, повышая безопасность и эффективность всей ИТ-инфраструктуры.
Active Directory обеспечивает выполнение следующих задач:
· Предоставление единой точки входа
· Централизованное управление политиками
· Интеграция с корпоративными приложениями и оборудованием
· Интеграция с LDAP через FFIM
· Единое хранилище конфигурации приложений
· Обеспечение масштабируемости и отказоустойчивости службы каталогов Active Directory.
· Обеспечение возможности восстановления удалённых объектов Active Directory
Упрощенное управление ИТ-инфраструктурой.
Создание и управление учетными записями
Создание учетных записей:
1.Откройте "Управление компьютером".
2.В дереве консоли выберите пункт Пользователи. Местонахождение
- Управление компьютером\Служебные\Локальные пользователи и группы\Пользователи
3.В меню Действие щелкните Новый пользователь.
4.Введите соответствующие сведения в диалоговое окно.
5.Установите или снимите флажки:
- Требовать смены пароля при следующем входе в систему
- Запретить смену пароля пользователем
- Срок действия пароля не ограничен
- Отключить учетную запись
6.Щелкните Создать, а затем выберите Закрыть.
Список учетных записей пользователей, в котором отображаются:
- Имя пользователя.
- Имя входа для учетной записи пользователя.
- Имеет ли учетная запись пользователя разрешение на повсеместный доступ. Разрешение повсеместного доступа для учетной записи пользователя имеет значение разрешено или не разрешено.
- Управляет ли историей файлов для данной учетной записи пользователя сервер, на котором выполняется Windows Server Essentials. История файлов для учетной записи пользователя имеет состояние управляемыйили неуправляемый.
- Уровень доступа, назначаемый учетной записи пользователя. Для учетной записи пользователя можно назначить доступ с правами обычного пользователя или администратора.
Состояние учетной записи пользователя. Учетная запись пользователя может иметь состояние активное, неактивное или неполный.
Область сведений с дополнительной информацией о выбранной учетной записи пользователя.
Область задач, которая включает в себя:
Набор задач администрирования учетной записи пользователя, например просмотр и удаление учетных записей пользователей, изменение паролей. Задачи, которые позволяют глобально задавать или изменять параметры для всех учетных записей пользователей в сети.
Групповая политика
Group Police - это мощный инструмент который позволяет управлять пользователями, системой, различными настройками централизованно.
Управление и настройки Group Police происходит через Active Directory а именно настройками для пользователей и ПК которые входят в домен.Настройки, которые создаются в групповой политики расположены в объектах групповых политик.
Существуют два типа ГП а именно: локальный и не локальный.
Не локальные объекты ГП находятся на контроллере домена и иметь к ним доступ возможно только в среде AD, они могут быть использованы только к пользователям и компьютерам в web-сайте, доменах или подразделениях.
Локальные объекты ГП хранятся на локальном ПК и причем на компьютере будет существовать только 1 локальный объект ГП и он будет содержать набор различных параметров доступных вне локальном объекте. В системе присутствует два объекта Group Police по умолчанию, это политика домена по дефолту и контроллера домена. Default Domain Controller Police – эта политика создана в Server 2012 по умолчанию если выполнено условие развертывания сервер-доменных служб AD, и она содержит настройки которые применены только к контроллеру домена.
Default Domain Police (политика домена по дефолту) – создается так же при развертывании роли сервера-доменных служб AD и содержит настройки которые применены ко всем рабочим станциям и пользователям домена.
Можно создавать свои объекты но при создании нужно всегда осознавать целесообразность этих действий, каждый объект состоит из параметров в которых можно выделить две папки:
Computer Configuration – данная папка будет содержать настройки, которые будут применяться к ПК и неважно кто из пользователей заходят в систему.
User Configuration – папка содержит настройки, которые будут использованы для применения к пользователям Microsoft и не важно какую рабочую станцию они ,будут использовать.
Данные параметры будут иметь существенные полномочия, которые в последствии будут решать судьбу пользователей в целом.
В папках Computer Configuration и User Configuration наблюдаем две подпапки это папка Policies (параметр политики) – в которой расположена конфигурация политики однозначно применяющиеся к GP, а папка Preferences (параметры предпочтений) – содержит различные преимущества которые возможно использовать для редактирования почти каждых параметров реестра, файла, папки или любого элемента, с помощью данной папки можно настроить программы которые не зависят от ГП.
В процессе изменения настроек Group Police вы столкнетесь с различными вариантами, но в общем случае вам потребуется выбрать из трех вариантов, которые приводят к результатам показанных ниже:
Enabled - запись в реестр включения
Disabled – это противоположный алгоритм Enabled, который будет записан со значением выключения
Not Configured - это политика не будет записывать в реестр, соответственно она не оказывает какого-либо влияния